Kerentanan Keamanan

Kerentanan Log4j kedua ditemukan, tambalan sudah dirilis

December 16, 2021 by Winnie the Pooh

Kerentanan kedua yang melibatkan Apache Log4j ditemukan pada hari Selasa setelah pakar keamanan siber menghabiskan waktu berhari-hari untuk mencoba menambal atau memitigasi CVE-2021-44228.

Deskripsi kerentanan baru, CVE 2021-45046, mengatakan perbaikan untuk mengatasi CVE-2021-44228 di Apache Log4j 2.15.0 “tidak lengkap dalam konfigurasi non-default tertentu.”

“Ini dapat memungkinkan penyerang… untuk membuat data input berbahaya menggunakan pola JNDI Lookup yang menghasilkan serangan penolakan layanan (DOS),” kata deskripsi CVE.

Apache telah merilis patch, Log4j 2.16.0, untuk masalah ini. CVE mengatakan Log4j 2.16.0 memperbaiki masalah dengan menghapus dukungan untuk pola pencarian pesan dan menonaktifkan fungsionalitas JNDI secara default. Ini mencatat bahwa masalah dapat dimitigasi dalam rilis sebelumnya dengan menghapus kelas JndiLookup dari classpath.

Kerentanan asli di Log4j, perpustakaan Java untuk mencatat pesan kesalahan dalam aplikasi, telah mendominasi berita utama sejak minggu lalu. Eksploitasi dimulai pada 1 Desember, menurut Cloudflare, dan peringatan awal oleh CERT Selandia Baru dipicu oleh CISA dan National Cyber Security Centre Inggris.

Perusahaan keamanan internasional ESET merilis peta yang menunjukkan di mana upaya eksploitasi Log4j telah dilakukan, dengan volume tertinggi terjadi di AS, Inggris, Turki, Jerman, dan Belanda.

Selengkapnya: ZDNet

Google merilis pembaruan Chrome darurat untuk memperbaiki kerentanan zero-day

December 14, 2021 by Winnie the Pooh

Google telah merilis Chrome 96.0.4664.110 untuk Windows, Mac, dan Linux, untuk mengatasi kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi di alam liar.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2021-4102 ada di alam liar,” kata vendor browser dalam penasihat keamanan hari ini.

Meskipun perusahaan mengatakan pembaruan ini mungkin memerlukan beberapa waktu untuk menjangkau semua pengguna, pembaruan telah mulai diluncurkan untuk Chrome 96.0.4664.110 di seluruh dunia di saluran Desktop Stabil.

Bug zero-day yang diperbaiki hari ini, dilacak sebagai CVE-2021-4102, dilaporkan oleh peneliti keamanan anonim dan adalah kelemahan use after free di mesin JavaScript Chrome V8.

Penyerang biasanya mengeksploitasi use after free bug untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari sandbox keamanan browser. Sementara Google mengatakan telah mendeteksi serangan liar yang menyalahgunakan zero-day ini, mereka tidak membagikan info tambahan mengenai insiden ini.

Dengan pembaruan ini, Google telah mengatasi 16 kerentanan zero-day Chrome sejak awal tahun.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, menginstal pembaruan Google Chrome hari ini sangat disarankan kepada pengguna Chrome.

Selengkapnya: Bleeping Computer

Penyerang bisa mendapatkan akses root dengan merusak AccountsService Ubuntu

December 14, 2021 by Winnie the Pooh

Kerentanan keamanan eskalasi hak istimewa lokal dapat memungkinkan penyerang mendapatkan akses root pada sistem Ubuntu dengan mengeksploitasi bug korupsi memori bebas ganda di komponen AccountsService GNOME.

AccountsService adalah layanan D-Bus yang membantu memanipulasi dan menanyakan informasi yang dilampirkan ke akun pengguna yang tersedia di perangkat.

Kerentanan keamanan (bug manajemen memori yang dilacak sebagai CVE-2021-3939) secara tidak sengaja ditemukan oleh peneliti keamanan GitHub Kevin Backhouse saat menguji demo eksploit untuk bug AccountsService lain yang juga memungkinkan untuk meningkatkan hak istimewa untuk melakukan root pada perangkat yang rentan.

Backhouse menemukan bahwa AccountsService salah menangani memori selama beberapa operasi pengaturan bahasa, sebuah kelemahan yang dapat disalahgunakan oleh penyerang lokal untuk meningkatkan hak istimewa.

Bug hanya memengaruhi fork Ubuntu dari AccountsService. Versi yang terpengaruh oleh kerentanan ini termasuk Ubuntu 21.10, Ubuntu 21.04, dan Ubuntu 20.04 LTS.

Cacat eskalasi hak istimewa ini telah diperbaiki oleh Canonical pada bulan November ketika AccountsService versi 0.6.55-0ubuntu12~20.04.5, 0.6.55-0ubuntu13.3, 0.6.55-0ubuntu14.1 dirilis. Setelah menerapkan pembaruan, Anda juga perlu me-restart komputer untuk menerapkan perubahan.

Seperti yang dia jelaskan, bukti konsep eksploitasi CVE-2021-3939-nya lambat (bisa beberapa jam) dan tidak akan berfungsi setiap saat. Namun, itu tidak masalah karena dapat dijalankan hingga berhasil, melihat bahwa bug bebas ganda memungkinkan kerusakan AccountsService sebanyak yang diperlukan.

Rincian lebih lanjut tentang bagaimana kerentanan ditemukan dan eksploitasi dikembangkan tersedia di CVE-2021-3939 Backhouse.

Selengkapnya: Bleeping Computer

Bug dalam miliaran WiFi, chip Bluetooth memungkinkan pencurian data dan kata sandi

December 14, 2021 by Winnie the Pooh

Para peneliti di University of Darmstadt, Brescia, CNIT, dan Secure Mobile Networking Lab, telah menerbitkan makalah yang membuktikan bahwa mengekstrak kata sandi dan memanipulasi lalu lintas pada chip WiFi dengan menargetkan komponen Bluetooth perangkat dapat dilakukan.

Perangkat elektronik konsumen modern seperti smartphone memiliki fitur SoC dengan komponen Bluetooth, WiFi, dan LTE yang terpisah, masing-masing dengan implementasi keamanan tersendiri.

Namun, komponen ini sering berbagi sumber daya yang sama, seperti antena atau spektrum nirkabel.

Berbagi sumber daya ini bertujuan untuk membuat SoC lebih hemat energi dan memberi mereka throughput yang lebih tinggi dan latensi yang rendah dalam komunikasi.

Seperti yang dijelaskan oleh para peneliti dalam makalah yang baru-baru ini diterbitkan, adalah mungkin untuk menggunakan sumber daya bersama ini sebagai jembatan untuk meluncurkan serangan eskalasi hak istimewa lateral melintasi batas-batas chip nirkabel.

Implikasi dari serangan ini termasuk eksekusi kode, pembacaan memori, dan denial of service.

Para peneliti menemukan kerentanan tersebut pada chip yang dibuat oleh Broadcom, Silicon Labs, dan Cypress, yang dapat ditemukan di dalam miliaran perangkat elektronik.

Semua kerentanan telah dilaporkan ke vendor chip, dan beberapa telah merilis pembaruan keamanan.

Namun masih banyak yang belum mengatasi masalah keamanan tersebut, baik karena tidak lagi mendukung produk yang terpengaruh atau karena patch firmware praktis tidak layak.

Sementara itu, dan selama masalah terkait perangkat keras ini masih belum diperbaiki, pengguna disarankan untuk mengikuti langkah-langkah perlindungan sederhana ini:

Hapus perangkat Bluetooth yang tidak perlu di ponsel Anda
Hapus jaringan WiFi yang tidak digunakan dari pengaturan
Gunakan data seluler alih-alih WiFi di ruang publik.

Selengkapnya: Bleeping Computer

Peretas mulai menyebarkan malware dalam serangan Log4Shell di seluruh dunia

December 13, 2021 by Winnie the Pooh

Dilansir dari Bleeping Computer, pelaku dan peneliti ancaman sedang memindai dan mengeksploitasi kerentanan Log4j Log4Shell untuk menyebarkan malware atau menemukan server yang rentan. Dalam artikel tersebut Bleeping Computer telah mengkompilasi muatan, scanner, dan serangan yang diketahui menggunakan kerentanan Log4j.

Jumat pagi, exploit dirilis secara publik untuk kerentanan kritis zero-day yang dijuluki ‘Log4Shell’ di platform logging berbasis Apache Log4j Java. Kerentanan ini memungkinkan penyerang untuk mengeksekusi perintah dari jarak jauh pada server yang rentan hanya dengan mencari atau mengubah user agent browser mereka ke string khusus.

Segera setelah itu, Apache merilis Log4j 2.15.0 untuk mengatasi kerentanan tersebut, tetapi pelaku ancaman sudah mulai memindai dan mengeksploitasi server yang rentan untuk mengekstrak data, menginstal malware, atau mengambil alih server.

Karena perangkat lunak ini digunakan di ribuan aplikasi dan situs web perusahaan, ada kekhawatiran signifikan bahwa perangkat lunak ini akan mengarah pada serangan yang meluas dan penyebaran malware.

Di bawah ini Bleeping Computer menguraikan serangan yang diketahui saat ini yang memanfaatkan kerentanan Log4j.

Cryptominer

Segera setelah kerentanan dirilis, Bleeping Computer melihat aktor ancaman mengeksploitasi kerentanan Log4Shell untuk mengeksekusi skrip shell yang mengunduh dan menginstal berbagai cryptominers, seperti yang ditunjukkan di bawah ini.

Pelaku ancaman di balik backdoor Kinsing dan botnet cryptomining menyalahgunakan kerentanan Log4j dengan muatan yang disandikan Base64 yang membuat server rentan mengunduh dan menjalankan skrip shell.

Botnet Mirai dan Muhstik

Netlab 360 melaporkan bahwa pelaku ancaman mengeksploitasi kerentanan untuk menginstal malware Mirai dan Muhstik pada perangkat yang rentan.

Keluarga malware ini merekrut perangkat dan server IoT ke dalam botnet mereka dan menggunakannya untuk menyebarkan cryptominers dan melakukan serangan DDoS skala besar.

Pemindaian dan pengungkapan informasi

Selain menggunakan eksploitasi Log4Shell untuk menginstal malware, pelaku ancaman dan peneliti keamanan menggunakan exploit untuk memindai server yang rentan dan mengekstrak informasi dari mereka.

Peneliti menggunakan exploit untuk memaksa server yang rentan mengakses URL atau melakukan permintaan DNS untuk callback domain. Ini memungkinkan peneliti atau aktor ancaman untuk menentukan apakah server rentan dan menggunakannya untuk serangan, penelitian, atau upaya di masa mendatang untuk mengklaim hadiah bug bounty.

Karena itu, sangat penting bagi semua pengguna untuk menginstal versi terbaru Log4j atau aplikasi yang terpengaruh untuk mengatasi kerentanan ini sesegera mungkin.

Selengkapnya: Bleeping Computer

Bug SanDisk SecureAccess memungkinkan kata sandi brankas paksa

December 10, 2021 by Winnie the Pooh

Western Digital telah memperbaiki kerentanan keamanan yang memungkinkan penyerang untuk melakukan brute force sandi SanDisk SecureAccess dan mengakses file yang dilindungi pengguna.

SanDisk SecureAccess (sekarang berganti nama menjadi SanDisk PrivateAccess) memungkinkan penyimpanan dan perlindungan file sensitif pada drive flash USB SanDisk.

“SanDisk SecureAccess 3.02 menggunakan hash kriptografi satu arah dengan salt yang dapat diprediksi sehingga rentan terhadap dictionary attack oleh pengguna jahat,” Western Digital menjelaskan dalam penasihat keamanan yang dikeluarkan Rabu.

“Perangkat lunak ini juga menggunakan hash kata sandi dengan upaya komputasi yang tidak memadai yang memungkinkan penyerang untuk melakukan brute force kata sandi pengguna yang mengarah ke akses tidak sah ke data pengguna.”

Kerentanan keamanan (CVE-2021-36750) yang berasal dari masalah fungsi derivasi utama yang disampaikan di atas telah diatasi dengan rilis SanDisk PrivateAccess Versi 6.3.5, yang sekarang menggunakan PBKDF2-SHA256 bersama dengan salt yang dibuat secara acak.

Anda dapat menemukan informasi mendetail di sini tentang upgrade penginstalan dan migrasi SecureAccess Vault ke PrivateAccess Vault yang baru.

Selengkapnya: Bleeping Computer

Bug zero-day Windows ‘InstallerFileTakeOver’ mendapat micropatch gratis

December 10, 2021 by Winnie the Pooh

Patch tidak resmi tersedia untuk kerentanan zero-day yang dieksploitasi secara aktif di alam liar untuk mendapatkan hak administrator.

Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk masalah ini, yang disebut sebagai bug “InstallerFileTakeOver”.

Kerentanan mempengaruhi semua versi Windows, termasuk Windows 11 dan Windows Server 2022, dan dapat dimanfaatkan oleh penyerang dengan akun lokal terbatas untuk meningkatkan hak istimewa dan menjalankan kode dengan hak admin.

Abdelhamid Naceri, peneliti yang membuat POC, menemukan masalah saat menganalisis patch untuk bug eskalasi hak istimewa lain yang dia laporkan ke Microsoft, yang saat ini dilacak sebagai CVE-2021-41379.

Dia menemukan bahwa perbaikan Microsoft tidak lengkap, meninggalkan ruang untuk eksploitasi untuk menjalankan kode dengan hak administrator. Naceri juga mencatat bahwa varian baru, yang belum menerima pengenal CVE, “lebih kuat daripada yang asli.”

Mitja Kolsek, salah satu pendiri layanan 0patch yang memberikan perbaikan terbaru yang tidak memerlukan reboot sistem, menjelaskan bahwa masalah berasal dari cara installer Windows membuat File Rollback (.RBF) yang memungkinkan pemulihan data yang dihapus atau diubah selama proses instalasi.

Pada satu titik, Windows mengubah lokasi file RBF dari “Config.msi” ke folder sementara dan memodifikasi izinnya untuk memungkinkan akses tulis pengguna.

Kode dari 0Patch memeriksa bahwa tidak ada persimpangan atau tautan di jalur tujuan file RBF; jika tidak, ini memblokir pemindahan file untuk menghilangkan risiko eksploitasi.

Micropatch gratis dan berfungsi di Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019.

Perlu dicatat, kode koreksi 0Patch adalah solusi sementara yang ditujukan untuk menjaga keamanan sistem hingga Microsoft merilis tambalan permanen untuk masalah tersebut.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Kerentanan Keamanan

Cryptominer

Botnet Mirai dan Muhstik

Pemindaian dan pengungkapan informasi

Cookies Settings